来源: 发布日期:2020.01.08 点击量:
《App违法违规收集使用个人信息行为认定方法》推出背景
今年下半年,伴随着部分App涉嫌违规采集用户个人信息的风险事件频频引发市场关注今年12月6日,国家网络安全通报中心称,集中查处整改了100款违法违规App及其运营的互联网企业,主要违规事由即无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。
《App违法违规收集使用个人信息行为认定方法》正式出台
近日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局正式联合印发《APP违法违规收集使用个人信息行为认定方法》,明确6大类违规行为。
其中,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用等行为,可被认定为“未经用户同意收集使用个人信息”。
那么,到底APP的哪些行为属于违法违规收集个人信息呢?官方的参考书上都写了什么?
《App违法违规收集使用个人信息行为认定方法》全文及重要条款解读
根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。
一、以下行为可被认定为“未公开收集使用规则”
【原文】1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
【原文】2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
【应对解读】对于提醒用户阅读隐私政策业内操作最常见的就是弹窗提醒的方式,除此之外,可通过视频等其他形式引导用户阅读隐私政策。
隐私政策示例
【原文】3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
【应对解读3】隐私政策除了用户在注册APP时弹窗阅读外,需提供给用户日常查看的明确入口,具体程度明确要求为“不超过4次点击”,超过4次点击的将被视为“隐私政策等收集使用规则难以访问”。
【原文】4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
【应对解读】隐私政策除了需要向用户提供查看入口外,需要便于用户阅读,具体包括字体、颜色需适宜阅读,展示页面不得过宽,需提供简体中文版隐私政策等,不得以PDF版隐私政策进行展示。
二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
【原文】1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
【应对解读】之前部分APP的隐私政策中仅列举了APP收集使用个人信息的目的、方式和范围,未列明委托的第三方或嵌入的第三方代码、插件所收集并使用的目的、方式及范围。此次认定办法要求隐私政策需要一一列举出APP及因使用该APP服务,APP委托的第三方或嵌入的第三方SDK收集使用个人信息的目的、方式、范围。
【原文】2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
【应对解读】当隐私政策的更新涉及到“收集使用个人信息的目的、方式、范围发生变化”时,需要提醒用户阅读并点击同意;若隐私政策仅调整文字表述,或举报电话等非实质影响用户个人信息合法权益的内容时,可不提醒用户阅读并点击同意。
【原文】3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
【原文】4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
三、以下行为可被认定为“未经用户同意收集使用个人信息”
【原文】1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
【应对解读】先授权、后收集、不授权、不收集。
【原文】2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
【应对解读】用户明确表示不同意将个人信息授权后,APP不得收集用户个人信息,或频繁征求用户同意,干扰了用户的正常使用。但对于“频繁征求用户同意”的具体频率,目前尚没有进一步的细化规定。
【原文】3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
【应对解读】企业收集个人信息的范围不能超过用户授权的范围。
超授权收集个人信息通报APP
【原文】4.以默认选择同意隐私政策等非明示方式征求用户同意;
【应对解读】隐私政策不得默认勾选,需用户明示同意。用户在点击同意隐私政策的选项时,建议APP运营者后台保留相关操作日志。
【原文】5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
【应对解读】APP更新时不得将用户同意或拒绝的权限,恢复至用户默认同意权限。一方面提示APP运营者不得通过更新的方式获得用户拒绝的权限,另一方面提示APP运营者关注是否因不同手机系统或APP程序原因,导致出现APP更新后获得用户拒绝的权限。
【原文】6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
【原文】7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
【原文】8.未向用户提供撤回同意收集个人信息的途径、方式;
【原文】9.违反其所声明的收集使用规则,收集使用个人信息。
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
【原文】1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
【原文】2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
【原文】3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
【原文】4.收集个人信息的频度等超出业务功能实际需要;
【原文】5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
【应对解读】“改善服务质量、提升用户体验”等表述过于笼统,未向用户提供更多的知情权或选择权,实践中APP运营者可通过其他方式来获取个人信息,如明确告知新增哪些具体功能,需收集哪些个人信息等方式。
【原文】6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
【应对解读】用户在登录使用APP时,APP弹窗获取录音、定位等权限时,需在遵循必要性的原则下逐一弹出,且弹出时需告知用户获取该权限的具体使用目的,不能一次性将多个或所有权限全部弹出并要求用户同意。
五、以下行为可被认定为“未经同意向他人提供个人信息”
【原文】1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
【原文】2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
【应对解读】若未经用户同意时传递个人信息,需将该信息匿名化处理,且必须无法识别或恢复。同时,匿名化处理后的信息因不具备可识别性,从法律上已经不属于“个人信息”的范畴,所以若个人信息在不同主体之间传递或共享,需要获得用户同意。
【原文】3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
【原文】1.未提供有效的更正、删除个人信息及注销用户账号功能;
【原文】2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
【原文】3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
【原文】4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
【应对解读】该办法要求用户更正或删除个人信息后,APP后台也需进行更正或删除,但是具体删除到什么程度,包括删除前哪些前置条件是合理的,哪里是不合理或不必要的,因实践中各类APP提供的产品或服务千差万别,仍需进一步研讨及论证。但是需要看到APP有相应的更正或删除操作,例如不能用户删除个人信息后,用户再次注册或登录时,之前的个人信息或历史交易记录仍在。
【原文】5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
更多相关内容请持续关注我们。
电话:021-62101209
邮箱:mkt@aryasec.com
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015